Taastest kaugemale: infoturbejuhi juhend tegeliku toimepidevuse loomiseks ISO 27001:2022 abil
Maria, kasvava finantstehnoloogia ettevõtte infoturbejuht, esitab juhatusele kolmanda kvartali riskimõõdikuid. Tema slaidid on selged: haavatavuste arv väheneb ja andmepüügi simulatsioonid on edukalt läbitud. Äkki hakkab tema telefon tungivalt märku andma. SOC-i juhilt saabub kõrge prioriteediga teavitus: „Tuvastatud lunavara. Levib lateraalselt. Mõjutatud on põhipangateenused.“
Ruumi õhkkond muutub enesekindlast pingeliseks. Tegevjuht küsib vältimatu küsimuse: „Kui kiiresti saame varukoopiast taastada?“
Maria teab, et neil on varukoopiad. Neid testitakse kord kvartalis. Kuid kui tema meeskond valmistub ümberlülituseks, tulvab talle pähe veel kümmekond küsimust. Kas taastekeskkonnad on turvalised või nakatavad need taastatud süsteemid lihtsalt uuesti? Kas intsidendilogimine töötab varuasukohas endiselt või tegutseme pimesi? Kellel on erakorraline administraatori juurdepääs ja kas nende tegevust jälgitakse? Kas teenuste kiirel taaskäivitamisel võib keegi saata tundlikke kliendiandmeid isiklikult kontolt?
See on kriitiline hetk, kus traditsiooniline katastroofitaasteplaan läbi kukub ja proovile pannakse tegelik toimepidevus. Küsimus ei ole ainult taastumises, vaid terviklusega taastumises. Just sellist mõtteviisi muutust nõuab ISO/IEC 27001:2022: liikumist pelgalt taastelt tervikliku ja katkematu turbeoleku säilitamisele ka kaose keskel.
Toimepidevuse tänapäevane määratlus: turve ei peatu kunagi
Aastaid keskendus toimepidevuse planeerimine tugevalt taasteaja eesmärkidele (RTO) ja taastepunkti eesmärkidele (RPO). Need mõõdikud on hädavajalikud, kuid räägivad ainult osa loost. Need mõõdavad kiirust ja andmekadu, kuid ei mõõda turbeolekut kriisi ajal.
ISO/IEC 27001:2022, eriti oma lisa A kontrollimeetmete kaudu, viib arutelu kõrgemale tasemele. Standard tunnistab, et häire ei ole infoturbe pausnupp. Vastupidi: kriisi kaos on just see hetk, mil turbekontrollid on kõige olulisemad. Ründajad kasutavad ära segadust ning ründavad just neid ajutisi lahendusi ja erakorralisi protseduure, mis on mõeldud teenuse taastamiseks.
ISO/IEC 27001:2022 kontekstis tähendab toimepidevus infoturbe säilitamist häire ajal (lisa A kontrollimeede 5.29), tugevat IKT-valmidust toimepidevuseks (5.30) ja usaldusväärset teabe varundamist (8.13). Eesmärk on tagada, et reageerimine ei looks uusi ja veel ohtlikumaid haavatavusi. Nagu kirjeldab Clarysec Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint, „audiitorid otsivad kooskõla mitte ainult poliitikaga, vaid ka tegelikkusega“. Just siin jääb enamik organisatsioone hätta: nad planeerivad tööaega, kuid mitte nõuetele vastavuse säilitamist kaose ajal.
Alus: miks toimepidevus algab kontekstist, mitte kontrollimeetmetest
Enne konkreetsete toimepidevuse kontrollimeetmete tõhusat rakendamist tuleb luua tugev infoturbe juhtimissüsteem (ISMS). Paljud organisatsioonid eksivad siin, liikudes otse lisa A juurde ilma vajalikku vundamenti rajamata.
Zenith Blueprint rõhutab alustamist ISMS-i põhiklauslitest, sest see vundamenditöö on toimepidevuse alus. Protsess algab organisatsiooni ainulaadse keskkonna mõistmisest:
- Klausel 4: organisatsiooni kontekst: organisatsiooni konteksti, sealhulgas sisemiste ja väliste tegurite ning huvitatud poolte nõuete mõistmine ning ISMS-i kohaldamisala määratlemine.
- Klausel 5: eestvedamine: tippjuhtkonna pühendumuse tagamine, infoturbepoliitika kehtestamine ning organisatsiooniliste rollide ja vastutuste määratlemine.
- Klausel 6: planeerimine: põhjaliku riskihindamise ja riskikäsitluse kavandamine ning selgete infoturbe eesmärkide seadmine.
Maria finantstehnoloogia ettevõtte puhul oleks Klausli 4 alusel tehtud põhjalik analüüs tuvastanud DORA ja NIS2 regulatiivse surve peamiste väliste teguritena. Klausli 6 alusel tehtud riskihindamine oleks modelleerinud täpselt selle lunavarastsenaariumi, millega ta nüüd silmitsi seisab, tuues esile kompromiteeritud taastekeskkondade riski ja ebapiisava logimise intsidendi ajal. Ilma selle kontekstita on iga toimepidevusplaan pelgalt pimesi tehtud oletus.
ISO/IEC 27001:2022 toimepidevuse kaks tugisammast
ISO/IEC 27001:2022 raamistikus tõusevad toimepidevuse tugisammastena esile kaks lisa A kontrollimeedet: teabe varundamine (8.13) ja infoturve häire ajal (5.29).
Kontrollimeede 8.13: teabe varundamine – hädavajalik turvavõrk
See on kontrollimeede, mida kõik arvavad endal kaetud olevat. Kuid tõeliselt tõhus varundusstrateegia tähendab enamat kui failide kopeerimist. See on korrigeeriv kontrollimeede, mis keskendub terviklusele ja käideldavusele ning on tihedalt seotud paljude teiste kontrollimeetmetega.
Atribuudid: korrigeeriv; terviklus, käideldavus; taastamine; toimepidevus; kaitse.
Operatiivne võimekus: toimepidevus.
Turbevaldkond: kaitse.
Auditivaade: audiitor ei piirdu vastusega „jah“ küsimusele „Kas teil on varukoopiad?“. Ta nõuab logisid, mis tõendavad hiljutiste varukoopiate olemasolu, tõendusmaterjali edukate taastamistestide kohta ning kinnitust, et varunduskandjad olid krüpteeritud, turvaliselt säilitatud ja hõlmasid kõiki teie registris määratletud kriitilisi varasid.
Stsenaarium: süsteem kustutatakse lunavara või kriitilise konfiguratsioonivea tõttu. Teie suutlikkus terviklusega taastuda sõltub küpsest varundusstrateegiast. Audiitorid kontrollivad, et see strateegia ei oleks eraldiseisev saar, vaid seotud teiste kriitiliste kontrollimeetmetega:
- 5.9 Teabe ja muu seotud vara register: te ei saa varundada seda, mille olemasolust te ei tea. Terviklik register on vältimatu nõue.
- 8.7 Kaitse pahavara vastu: varukoopiad peavad olema isoleeritud ja kaitstud just selle lunavara eest, mille tõrjumiseks need on mõeldud. See hõlmab muutmatu talletuse või õhkvahega eraldatud koopiate kasutamist.
- 5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded: kas teie varukoopiate säilitamisgraafikud ja talletuskohad vastavad andmete asukoha nõuetele ja lepingulistele kohustustele?
- 5.33 Kirjete kaitse: kas teie varukoopiad täidavad isikut tuvastava teabe, finantskirjete või muude reguleeritud andmete säilitamise ja privaatsuse nõudeid?
Kontrollimeede 5.29: infoturve häire ajal – tervikluse hoidja
See on kontrollimeede, mis eristab nõuetele vastava ISMS-i toimepidevast ISMS-ist. See käsitleb otse neid kriitilisi küsimusi, mis Maria kriisi ajal painavad: kuidas säilitada turve, kui peamised tööriistad ja protsessid pole kättesaadavad? Kontrollimeede 5.29 nõuab, et turvameetmed oleksid kavandatud ja püsiksid tõhusad kogu häiresündmuse vältel.
Atribuudid: ennetav, korrigeeriv; kaitsmine, reageerimine; konfidentsiaalsus, terviklus, käideldavus.
Operatiivne võimekus: toimepidevus.
Turbevaldkond: kaitse, toimepidevus.
Auditivaade: audiitorid vaatavad toimepidevuse ja katastroofitaaste plaanid läbi just selleks, et leida tõendeid turbekaalutluste kohta. Nad kontrollivad alternatiivsete asukohtade turbekonfiguratsioone, veenduvad, et logimine ja juurdepääsukontroll säilivad, ning hindavad ajutisi protsesse turbenõrkuste suhtes, mitte ainult nende võimet teenus taastada.
Stsenaarium: teie peamine andmekeskus on võrguühenduseta ja tegevus viiakse üle varuasukohta. Audiitorid eeldavad tõendusmaterjali – paikvaatluste aruandeid, konfiguratsioonifaile, juurdepääsulogisid –, et teisene asukoht vastab teie peamistele turbenõuetele. Kas erakorraline üleminek kaugtööle laiendas lõppseadmete kaitset ja turvalist juurdepääsu kõigile seadmetele? Kas dokumenteerisite otsused mõne kontrollimeetme ajutiseks leevendamiseks ja hilisemaks taastamiseks?
Zenith Blueprint sõnastab selle olemuse täpselt: „Oluline on, et turve ei peatuks süsteemide taastamise ajal. Kontrollimeetmete vorm võib muutuda, kuid eesmärk jääb samaks: hoida teave kaitstuna ka surve all.“ See kontrollimeede sunnib planeerima kriisi ebamugavat tegelikkust ja on tihedalt põimunud teiste kontrollimeetmetega:
- 5.30 IKT-valmidus toimepidevuseks: tagab, et tehniline taasteplaan ei eira turbeplaani.
- 8.16 Seiretegevused: nõuab, et teil oleks võimalus säilitada nähtavus ka siis, kui esmased seirevahendid on võrguühenduseta.
- 5.24 Infoturbeintsidentide halduse planeerimine ja ettevalmistus: kriisi- ja toimepidevusmeeskonnad peavad tegutsema paralleelselt, tagades, et intsidendihalduse olukorrateadlikkus säilib häire ajal.
- 5.28 Tõendite kogumine: tagab, et taastamise kiirustades ei hävitata uurimiseks ja regulatiivseks teavitamiseks vajalikku olulist digitaalset tõendusmaterjali.
Praktiline juhend auditeeritava toimepidevuse rakendamiseks
Nende kontrollimeetmete teooriast praktikasse viimine nõuab selgeid ja rakendatavaid poliitikaid ning protseduure. Clarysec poliitikamallid on loodud nende põhimõtete otse teie ISMS-i lõimimiseks. Näiteks meie Varundamise ja taastamise poliitika Varundamise ja taastamise poliitika annab raamistiku, mis läheb lihtsatest varundusgraafikutest kaugemale:
„Poliitika rakendab ISO/IEC 27001:2022 kontrollimeetmeid, mis on seotud tõendite kogumisega (5.28), toimepidevusega häire ajal (5.29), operatiivse taastamisega (8.13) ja teabe kustutamisega (8.10), ning kaardistub parimate tavadega standardist ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA ja NIS2.“
Selline terviklik lähenemine muudab toimepidevuse abstraktsest mõistest auditeeritavate operatiivsete ülesannete kogumiks.
Rakendatav kontrollnimekiri: varundus- ja toimepidevusstrateegia auditeerimine
Kasutage seda kontrollnimekirja koos tervikliku poliitikaga, et valmistada ette tõendusmaterjal, mida audiitor nõuab.
| Auditi küsimus | Kontrollimeetme viide | Clarysec poliitikajuhis | Ettevalmistatav tõendusmaterjal |
|---|---|---|---|
| Kas varundamise kohaldamisala on kooskõlas teie BIA ja varade registriga? | 8.13, 5.9 | Poliitika nõuab varundusgraafiku sidumist teabevarade kriitilisuse klassifikatsiooniga. | Varade register koos kriitilisushinnangutega; varunduskonfiguratsioon, mis näitab prioriseeritud süsteeme. |
| Kas taastamisteste tehakse regulaarselt ja kas tulemused dokumenteeritakse? | 8.13, 9.2 | Poliitika määratleb minimaalse testimissageduse ja nõuab testiaruande koostamist, sealhulgas taastamisaja mõõdikuid ja andmete tervikluse kontrolle. | Viimase 12 kuu taastamistestide plaanid ja aruanded; kirjed tehtud parandusmeetmete kohta. |
| Kuidas kaitstakse varukoopiaid lunavara eest? | 8.13, 8.7 | Poliitika sätestab nõuded muutmatule talletusele, õhkvahega eraldatud koopiatele või isoleeritud varundusvõrkudele kooskõlas pahavarakaitse kontrollimeetmetega. | Võrguskeemid; varukoopiate talletuse konfiguratsiooniandmed; varunduskeskkonna haavatavuse skannimised. |
| Kas turbekontrollid säilivad taastamistoimingu ajal? | 5.29, 8.16 | Poliitika viitab vajadusele kasutada turvalisi taastekeskkondi ja jätkuvat logimist, tagades kooskõla organisatsiooni intsidentidele reageerimise plaaniga. | Intsidentidele reageerimise plaan; dokumentatsioon taastamiseks kasutatava turvalise „liivakasti“ kohta; hiljutise taastamistesti logid. |
| Kas varukoopiate säilitamisgraafikud on kooskõlas andmekaitseõigusega? | 8.13, 5.34, 8.10 | Poliitika nõuab, et varukoopiate säilitamisreeglid vastaksid andmete säilitamise põhiplaanile, et vältida isikut tuvastava teabe tähtajatut säilitamist ja toetada GDPR kustutamisõigust. | Andmete säilitamise põhiplaan; säilitustähtaegu näitavad varundustööde konfiguratsioonid; protseduurid andmete kustutamiseks varukoopiatest. |
Nõueteülene vastavus: toimepidevuse kaardistamine DORA, NIS2 ja muude nõuetega
Kriitilistes sektorites tegutsevate organisatsioonide jaoks ei ole toimepidevus ainult ISO/IEC 27001:2022 parim tava, vaid õiguslik kohustus. Sellised regulatsioonid nagu digitaalne tegevuskerksuse määrus (DORA) ja NIS2 direktiiv rõhutavad tugevalt võimet taluda IKT-häireid ja neist taastuda.
Õnneks annab ISO/IEC 27001:2022 jaoks tehtav töö tugeva edumaa. Clarysec Zenith Controls: nõueteülese vastavuse juhend Zenith Controls on loodud selgete kaardistustabelite koostamiseks, mis tõendavad seda kooskõla audiitoritele ja regulaatoritele. Ennetav dokumenteerimine näitab, et juhite turvet selle täielikus õiguslikus kontekstis.
Meie poliitikad on koostatud seda silmas pidades. Näiteks Andmekaitse ja privaatsuspoliitika Andmekaitse ja privaatsuspoliitika kirjeldab selgelt oma rolli DORA ja NIS2 vastavuse tugevdamisel koos ISO/IEC 27001:2022 nõuetega.
See kaardistustabel näitab, kuidas põhilised toimepidevuse kontrollimeetmed täidavad mitme suure raamistiku nõudeid.
| Raamistik | Peamised punktid/artiklid | Kuidas toimepidevuse kontrollimeetmed (5.29, 8.13) kaardistuvad | Auditi ootused |
|---|---|---|---|
| GDPR | Art. 32, 34, 5(1)(f), 17(1) | Andmekaitse jätkub ka surve all; varundussüsteemid peavad toetama taastamist ja kustutamisõigust; kriiside ajal tekkinud haavatavuste korral võib olla vajalik rikkumisest teavitamine. | Varunduslogide, taastamistestide, varukoopiatest andmete kustutamise tõendusmaterjali ja häire ajal loodud intsidendilogide läbivaatamine. |
| NIS2 | Art. 21(2)(d), 21(2)(f), 21(2)(h), 23 | Toimepidevus ei ole valikuline; kontrollimeetmed peavad tagama toimepidevuse ja varukoopiate kehtivuse; kriisijuhtimine peab hoidma teabe kaitstuna. | Toimepidevuse plaanide, varundusgraafikute, varunduskontrollide nõuetekohast toimimist tõendava materjali ja intsidendihalduse aruannete põhjalik kontroll. |
| DORA | Art. 10(1), 11(1), 15(3), 17, 18 | Nõutav on kohustuslik toimepidevuse testimine koos intsidendihalduse, varukoopiast taastamise ja IKT-teenuste tarnijakontrollide ristviidetega. | Toimepidevuse õppuste, varukoopiatest taastamise logide, tarnijate andmetaaste klauslite ja intsidendiaruannete audit. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Toimepidevus ja riskijuhtimine peavad olema põimunud; varundus- ja taastamisvõimekust tõendatakse mõõdikute, logide ja pideva täiustamise tsüklite kaudu. | Toimepidevuse läbivaatamiste, varundamise tulemusnäitajate, logide ning parandus- ja täiustamiskirjete audit. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Varunduslahendused ja intsidentidele reageerimine on taaste nurgakivikontrollid; logimine ja taastamistestid on võimekuse tõendamiseks kohustuslikud. | Taastamisvõimekuse, varukoopiate turbe, säilitushalduse ja intsidentide käsitlemise protseduuride kontroll. |
Luues oma ISMS-i ISO/IEC 27001:2022 tugevale raamistikule, loote samal ajal kaitstava positsiooni ka nende teiste rangete regulatsioonide suhtes.
Audiitori pilguga: kuidas teie toimepidevust testitakse
Audiitorid on koolitatud vaatama poliitikatest kaugemale ja otsima rakendamise tõendeid. Toimepidevuse puhul soovivad nad näha tõendeid distsipliini kohta surve all. Teie toimepidevusvõimekuse audit on mitmetahuline ning eri audiitorid keskenduvad eri liiki tõendusmaterjalile.
| Audiitori vaade (raamistik) | Peamine fookusvaldkond | Nõutava tõendusmaterjali liigid |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Turbe lõimimine toimepidevuse ja katastroofitaaste plaanidesse | Toimepidevuse ja katastroofitaaste dokumentatsiooni läbivaatamine, et kinnitada turbekaalutluste sisuline lõimitus, mitte hilisem lisamine. Kontroll, et alternatiivsetel asukohtadel on samaväärsed turbekontrollid. |
| COBIT 2019 (DSS04) | Pidev täiustamine ja intsidendijärgne ülevaatus | Tegelike häirete või õppuste järel koostatud aruannete läbivaatamine. Fookus on sellel, kas sündmuse ajal tuvastatud turbelüngad dokumenteeriti ja kõrvaldati. |
| NIST SP 800-53A (CP-10) | Taaste ja uuesti tööle seadmise valideerimine | Stsenaariumipõhine testimine kas lauaõppuste või praktiliste õppuste kaudu. Audiitorid hindavad organisatsiooni suutlikkust säilitada turbekontrollid taasteprotsessi ajal. |
| ISACA ITAF | Dokumenteeritud riski aktsepteerimine | Häire ajal tehtud riski aktsepteerimiste dokumentatsioon ja läbivaatamine. Tõendusmaterjal peab olema riskiregistris või toimepidevuse plaanis ning selgelt volitatud. |
Levinud kitsaskohad: kus toimepidevusplaanid tegelikkuses sageli läbi kukuvad
Clarysec auditileiud näitavad korduvaid nõrkusi, mis õõnestavad ka kõige paremini kirjutatud plaane. Vältige neid levinud kitsaskohti:
- Käsitsi varuprotsessidel puudub piisav turve. Kui süsteemid seiskuvad, pöörduvad töötajad tagasi tabelarvutuse ja e-posti juurde. Nendel käsitsi protsessidel puudub sageli põhisüsteemide füüsiline või loogiline turve.
- Parandus: lõimige käsitsi ajutiste lahenduste kriisiprotokollidesse füüsiline kaitse (lukustatud kapid, juurdepääsulogid) ja loogilised kontrollid (krüpteeritud failid, turvalised sidekanalid).
- Alternatiivsed asukohad ei ole täielikult seadistatud. Varuandmekeskuses on serverid ja andmed, kuid puududa võivad samaväärsed tulemüürireeglid, logimisagendid või juurdepääsukontrolli integratsioonid.
- Parandus: dokumenteerige turbekontrollide samaväärsus peamise ja teisese asukoha vahel. Tehke varuasukohas regulaarselt tehnilisi auditeid ja kaasake turbeesindajad kõigisse ümberlülituse õppustesse.
- Taastamistestid on puudulikud või vajaduspõhised. Organisatsioonid testivad, kas serverit saab taastada, kuid jätavad kontrollimata, kas taastatud rakendus on turvaline, logitud ja toimib koormuse all korrektselt.
- Parandus: muutke terviklikud varukoopiatest taastamise testid, sealhulgas turbe valideerimine, intsidendiõppuste ja iga-aastaste auditi läbivaatamiste kohustuslikuks osaks.
- Andmekaitse varukoopiates jääb tähelepanuta. Varukoopiatest võib saada vastavusrisk, kui need sisaldavad andmeid, mis oleks tulnud GDPR kustutamisõiguse alusel kustutada.
- Parandus: viige varukoopiate säilitamise ja kustutamise protseduurid kooskõlla oma andmekaitsepoliitikatega. Tagage dokumenteeritud protsess konkreetsete andmete kustutamiseks varukoopiakomplektidest, kui see on õiguslikult nõutav.
Vastavusest toimepidevuseni: pideva täiustamise kultuuri kujundamine
Toimepidevuse saavutamine ei ole ühekordne projekt, mis lõpeb sertifitseerimisega. See on pidev pühendumus täiustamisele, mis on sätestatud ISO/IEC 27001:2022 Klauslis 10. Tõeliselt toimepidev organisatsioon õpib igast intsidendist, igast peaaegu juhtumist ja igast auditileiust.
See nõuab liikumist reaktiivsetest parandustest kaugemale. Zenith Blueprint soovitab lõimida pideva täiustamise organisatsioonikultuuri, luues kanalid, mille kaudu töötajad saavad teha turbeparanduste ettepanekuid, tehes oluliste muudatuste korral ennetavaid riskihindamisi ning korraldades põhjalikke intsidendijärgseid ülevaatusi õppetundide kogumiseks.
Lisaks on kontrollimeetmel 5.35 (infoturbe sõltumatu läbivaatamine) oluline roll. Sõltumatu osapoole kaasamine ISMS-i läbivaatamisse annab erapooletu vaate, mis võib paljastada pimekohad, mida sisemine meeskond ei märka. Nagu Zenith Blueprint mõjusalt ütleb: „…vastavuses oleva ISMS-i ja tõeliselt toimepideva ISMS-i eristab see: valmisolek esitada raskeid küsimusi ja kuulata, kui vastused on ebamugavad.“
Järgmine samm: murdumatu ISMS-i loomine
Maria kriis toob esile universaalse tõe: häired on vältimatud. Olgu põhjuseks lunavara, loodusõnnetus või kriitilise tarnija tõrge – teie organisatsioon pannakse proovile. Küsimus ei ole selles, kas see juhtub, vaid selles, kuidas te reageerite. Kas te lihtsalt taastute või reageerite toimepidevalt?
ISMS-i loomine, mis säilitab tervikluse surve all, nõuab strateegilist ja terviklikku lähenemist. See algab tugevast vundamendist, hõlmab tihedalt seotud kontrollimeetmeid ning seda toetab pideva täiustamise kultuur. Ärge oodake tegelikku häiret, et avastada strateegia lüngad.
Kas olete valmis looma ISMS-i, mis ei ole ainult nõuetele vastav, vaid ka tõeliselt murdumatu?
- Laadige alla Clarysec Zenith Blueprint: audiitori 30-sammuline teekaart, et juhtida rakendamist algusest lõpuni.
- Kasutage meie terviklikke poliitikamalle, näiteks Varundamise ja taastamise poliitika, et tõlkida standardid konkreetseks ja auditeeritavaks tegevuseks.
- Kasutage Zenith Controls: nõueteülese vastavuse juhendit, et tagada oma jõupingutuste vastavus ISO/IEC 27001:2022, DORA ja NIS2 rangetele nõuetele.
Võtke juba täna ühendust tasuta toimepidevuse hindamiseks ja laske Clarysec ekspertidel aidata teil luua ISMS, mis toimib ka surve all.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
